信息來(lái)源：比特網(wǎng)

       最近這兩天，號(hào)稱“最安全”的通訊應(yīng)用Telegram接連爆出漏洞，又是剪貼板信息泄露，又是1500萬(wàn)伊朗用戶手機(jī)號(hào)曝光，究竟這兩個(gè)漏洞有多危險(xiǎn)呢?

漏洞1：粘貼信息泄露

       研究員Kirill Firsov發(fā)現(xiàn)了這個(gè)漏洞：在OS X版本的Telegram中，復(fù)制粘貼到Telegram上的文本會(huì)被記錄到/var/log/system.log(syslog)中。這樣某些私密的聊天記錄就被保存了下來(lái)。

       Mac系統(tǒng)一般會(huì)保存7天的日志，不過攻擊者得要有物理接觸才能訪問到日志。不過在企業(yè)環(huán)境系統(tǒng)下，日志信息會(huì)發(fā)送到專門的日志服務(wù)器，這樣就可能會(huì)帶來(lái)更大的安全隱患。

       對(duì)此，Telegram創(chuàng)始人Pavel Durov解釋稱，讀取日志的難度很大，而且實(shí)際上相比普通的剪切板復(fù)制粘貼安全得多，因?yàn)槿魏螒?yīng)用都可以讀取你的剪切板。

       不過Pavel Durov說，Telegram還是在漏洞公開后馬上修復(fù)了，所以現(xiàn)在用戶們用的軟件應(yīng)該都沒什么問題了。

漏洞2：1500萬(wàn)伊朗用戶手機(jī)號(hào)泄露

       就在粘貼信息泄露爆出的第二天，又有伊朗黑客聲稱，他們攻陷了數(shù)十個(gè)Telegram賬號(hào)，然后泄露了1500萬(wàn)伊朗用戶手機(jī)號(hào)。

       Telegram在全球有一億用戶，而在伊朗的Telegram用戶大約有2000萬(wàn)，這主要是因?yàn)門elegram提供了端對(duì)端的加密，能夠保障用戶密鑰只有用戶擁有，即便是Telegram公司也無(wú)法訪問到消息數(shù)據(jù)。而在伊朗這樣的國(guó)家，大量的異見人士、新聞?dòng)浾?、甚至普通群眾?duì)通訊安全十分重視，因此它吸引了大量用戶。

       1500萬(wàn)用戶手機(jī)號(hào)泄露，看起來(lái)已經(jīng)把75%的伊朗用戶手機(jī)號(hào)泄露完了，那這個(gè)漏洞嚴(yán)不嚴(yán)重呢?

Telegram的博客對(duì)此作出了解釋：

       有人檢查了那些手機(jī)號(hào)碼有沒有在Telegram進(jìn)行注冊(cè)，然后確認(rèn)了這1500萬(wàn)個(gè)手機(jī)號(hào)。結(jié)果黑客只是獲得了那些公開數(shù)據(jù)，并沒有進(jìn)入過那些賬號(hào)。

       Telegram還說，黑客使用API對(duì)手機(jī)有沒有注冊(cè)Telegram進(jìn)行了測(cè)試，而公司今年會(huì)引入一種對(duì)API查詢的限制，可以阻止這種大量檢測(cè)。

       “不過，Telegram是基于手機(jī)通訊錄的，任何人還是能夠查到某個(gè)手機(jī)號(hào)有沒有注冊(cè)賬號(hào)”，Telegram補(bǔ)充說，”各大基于通訊錄的聊天軟件也都是這樣做的(WhatsApp, Messenger等)?！?/span>

       黑客在報(bào)告中所提的另一點(diǎn)是：登錄過程中的驗(yàn)證短信可能被他人獲取，他們就是使用SS7獲取驗(yàn)證短信從而登錄了那幾十個(gè)賬號(hào)。由于伊朗的手機(jī)通訊供應(yīng)商都掌握在政府手中，黑客擔(dān)心伊朗政府可能會(huì)利用這一點(diǎn)，截取異見人士的驗(yàn)證短信，進(jìn)而登錄他們的賬號(hào)。

       Telegram在博客中表示，截獲驗(yàn)證短信其實(shí)已經(jīng)很難說是新威脅了，公司一直在警告某些國(guó)家的用戶小心短信被截取。建議用戶們開啟兩部驗(yàn)證來(lái)防范這種攻擊。

事實(shí)上發(fā)送驗(yàn)證短信是各大通信軟件的通行做法，這在一般人看來(lái)好像沒什么問題，但伊朗用戶對(duì)于安全的重視程度要比一般人高得多，因此，對(duì)于他們來(lái)說，這樣的安全措施還是不夠的。